Riadený prístup k priečinkom^{(Controlled folder access)} je funkcia na prevenciu narušenia dostupná s Microsoft Defender Exploit Guard , ktorá je súčasťou Microsoft Defender Antivirus . Bol navrhnutý predovšetkým tak, aby zabránil ransomvéru šifrovať vaše dáta/súbory, no zároveň chráni súbory pred nechcenými zmenami z iných škodlivých aplikácií. V tomto príspevku vám ukážeme, ako nakonfigurovať kontrolovaný prístup k priečinkom pomocou skupinovej politiky a prostredia PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} v systéme Windows 11/10.

Táto funkcia je v systéme Windows 10^{(Windows 10)} voliteľná , ale ak je povolená, funkcia dokáže sledovať spustiteľné súbory, skripty a knižnice DLL^(DLLs) , ktoré sa pokúšajú vykonať zmeny v súboroch v chránených priečinkoch. Ak je aplikácia alebo súbor škodlivý alebo nerozpoznaný, funkcia pokus zablokuje v reálnom čase a vy dostanete upozornenie na podozrivú aktivitu.

Nakonfigurujte riadený prístup k priečinkom^{(Folder Access)} pomocou skupinovej politiky^{(Group Policy)}

Ak chcete nakonfigurovať kontrolovaný prístup k priečinkom^{(Controlled Folder Access)} pomocou skupinovej politiky^{(Group Policy)} , musíte túto funkciu najskôr povoliť . Po dokončení môžete pokračovať v konfigurácii nasledujúceho:

Pridajte nové umiestnenie na ochranu pomocou Editora miestnych zásad skupiny^{(Local Group Policy Editor)}

Ak je povolený riadený prístup k priečinkom, predvolene sa pridajú základné priečinky. Ak musíte chrániť údaje umiestnené na inom mieste, môžete na pridanie nového priečinka použiť politiku Konfigurovať chránené priečinky .^{(Configure protected folders)}

Tu je postup:

• Stlačením klávesu Windows key + R vyvolajte dialógové okno Spustiť
• V dialógovom okne Spustiť napíšte gpedit.msca stlačením klávesu Enter otvorte Editor zásad skupiny^{(open Group Policy Editor)} .
• V rámci Editora lokálnej skupinovej politiky^{(Local Group Policy Editor)} použite ľavý panel na prechod na cestu nižšie:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Dvakrát kliknite na  politiku Konfigurovať chránené priečinky^{(Configure protected folders)} na pravej table a upravte jej vlastnosti.
• Vyberte  prepínač Povolené .^(Enabled)
• V časti Možnosti^(Options) kliknite na tlačidlo Zobraziť^(Show)  .
• Zadajte miesta, ktoré chcete chrániť, zadaním cesty k priečinku (napr.; F:MyData) do poľa Názov hodnoty^{(Value name)} a pridaním 0 do poľa Hodnota^(Value) . Ak chcete pridať ďalšie miesta, zopakujte tento krok.
• Kliknite na  tlačidlo OK^(OK)  .
• Kliknite na  tlačidlo Použiť^(Apply)  .
• Kliknite na  tlačidlo OK^(OK)  .

Nové priečinky budú teraz pridané do zoznamu ochrany prístupu k riadeným^(Controlled) priečinkom. Ak chcete vrátiť zmeny, postupujte podľa vyššie uvedených pokynov, ale vyberte možnosť  Nie je nakonfigurované^{(Not Configured)} alebo Zakázané^(Disabled) .

Zoznam aplikácií na bielu listinu v riadenom^(Controlled) prístupe k priečinkom pomocou Editora miestnych zásad skupiny^{(Local Group Policy Editor)}

• Otvorte Editor miestnej politiky skupiny.
• V rámci Editora lokálnej skupinovej politiky^{(Local Group Policy Editor)} použite ľavý panel na prechod na cestu nižšie:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Dvakrát kliknite na politiku Konfigurovať povolené aplikácie^{(Configure allowed applications)}  na pravej table a upravte jej vlastnosti.
• Vyberte  prepínač Povolené .^(Enabled)
• V časti Možnosti^(Options) kliknite na tlačidlo Zobraziť^(Show)  .
• Do poľa Názov hodnoty^{(Value name)} zadajte umiestnenie súboru .exe pre aplikáciu (napr.; C:Program Files (x86)GoogleChromeApplicationchrome.exe), ktorú chcete povoliť, a do poľa Hodnota^(Value) pridajte 0 . Ak chcete pridať ďalšie miesta, zopakujte tento krok.
• Kliknite na  tlačidlo OK^(OK)  .
• Kliknite na  tlačidlo Použiť^(Apply)  .
• Kliknite na  tlačidlo OK^(OK)  .

Teraz nebudú zadané aplikácie blokované, keď je zapnutý kontrolovaný prístup k priečinkom, a budú môcť vykonávať zmeny v chránených súboroch a priečinkoch. Ak chcete vrátiť zmeny, postupujte podľa vyššie uvedených pokynov, ale vyberte možnosť  Nie je nakonfigurované^{(Not Configured)} alebo Zakázané^(Disabled) .

Pre používateľov Windows 11/10 Home môžete pridať^{(add Local Group Policy Editor)} funkciu Editor miestnych zásad skupiny a potom vykonať pokyny uvedené vyššie alebo môžete použiť metódu PowerShell nižšie.^(PowerShell)

Nakonfigurujte riadený prístup k priečinkom^{(Folder Access)} pomocou prostredia PowerShell

Ak chcete nakonfigurovať riadený prístup k priečinkom^{(Controlled Folder Access)} pomocou skupinovej politiky^{(Group Policy)} , musíte túto funkciu najskôr povoliť. Po dokončení môžete pokračovať v konfigurácii nasledujúceho:

Pridajte^(Add) nové umiestnenie na ochranu pomocou PowerShell

• Stlačením klávesu Windows + X otvorte ponuku Power User Menu^{(open Power User Menu)} .
• Klepnutím na A na klávesnici spustíte PowerShell v správcovskom/zvýšenom režime.
• V konzole PowerShell zadajte príkaz nižšie a stlačte Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

V príkaze nahraďte F:olderpath oaddzástupný symbol skutočnou cestou pre umiestnenie a spustiteľný súbor aplikácie, ktorú chcete povoliť. Váš príkaz by teda mal vyzerať napríklad takto:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:path oappapp.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• Ak chcete aplikáciu odstrániť, zadajte príkaz nižšie a stlačte Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

To je všetko o tom, ako nakonfigurovať riadený prístup k priečinkom^{(Controlled Folder Access)} pomocou skupinovej politiky^{(Group Policy)} a prostredia PowerShell v Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Pri používaní SCCM sa neuplatňuje skupinová politika presmerovania priečinkov

• Zakážte Internet Explorer 11 ako samostatný prehliadač pomocou skupinovej politiky

• Ako pridať Editor zásad skupiny do Windows 11/10 Home Edition

• Zabráňte inštalácii programov zo zdroja vymeniteľných médií

• Zmeňte jednotku vyrovnávacej pamäte optimalizácie doručenia pre aktualizácie systému Windows

• Zmeniť maximálny vek vyrovnávacej pamäte optimalizácie doručenia služby Windows Update

• Obmedzte nastavenie vyhradenej šírky pásma v systéme Windows 11/10

• Ako uzamknúť všetky nastavenia panela úloh v systéme Windows 10

• Ako povoliť alebo zakázať dlhé cesty Win32 v systéme Windows 11/10

• Referenčná príručka nastavení skupinovej politiky pre Windows 10

• Zásady skupiny na konfiguráciu presmerovania na Microsoft Edge

• Zálohovanie/obnovenie alebo import/export nastavení skupinovej politiky v systéme Windows 11/10

• Ako povoliť Audio Sandbox v prehliadači Edge

• Zásady skupiny na pozadí pracovnej plochy sa neuplatňujú v systéme Windows 11/10

• Ako zabrániť používateľom v odstránení diagnostických údajov v systéme Windows 11/10

• Zapnite alebo vypnite Sleeping Tabs v Edge pomocou registra alebo skupinovej politiky

• Povoľte alebo zakážte prístup k Správcovi doplnkov Firefoxu pomocou skupinovej politiky

• Zakázať optimalizáciu doručovania prostredníctvom skupinovej politiky alebo Editora databázy Registry

• Ako mapovať sieťový disk pomocou skupinovej politiky v systéme Windows 11/10

• Chyba pri otvorení Editora miestnych zásad skupiny v systéme Windows 11/10